Új magyar szabvány áll megjelenés előtt az információbiztonság területén

A Nemzetközi Szabványügyi Testület (ISO) az IEC JTC 1/SC 27 technikai bizottság általi elfogadás után 2015. októberében bocsátotta ki a megújult, információbiztonság irányítási rendszerek auditjára és tanúsítására vonatkozó szabványt. Hamarosan a szabvány magyar nyelvű változata is elérhetővé válik.

Az egyes irányítási rendszerek konkrét követelményeit tartalmazó szabványok mellett fontos szerepet töltenek be azok a szabályozó dokumentumok, amelyek meghatározzák e rendszerek tanúsításának követelményeit, s ezáltal kötelező szabályokat hoznak létre a tanúsító szervezetekre és az audit folyamatára nézve.

Ezek a követelmények ugyanis visszahatnak az audit folyamatára, s a figyelembe vett követelményeken és a tanúsítást végző személyeken, illetve szervezeteken keresztül azokra a szervezetekre, akik a szabványt alkalmazni kívánják.

A Nemzetközi Szabványügyi Testület meghatározott menetrend szerint, rendszeresen felülvizsgálja az általa kiadott szabványokat, azok naprakészségének biztosítására.

Az „ISO/IEC 27006:2015 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszereinek auditját és tanúsítását végző testületekre vonatkozó követelmények” című szabvány az információbiztonsági rendszerek tanúsítására vonatkozó követelmények harmadik szabványosított verziója, mely számos változást mutat az előzőekhez viszonyítva.

A változásokat az alábbiakban foglalhatjuk össze:

• e szabvány tekintetében is érvényesül az a koncepció, hogy az ISO szabványait a legmagasabb szinten próbálják összehangolni, azok gyakori együttes alkalmazására tekintettel. Ennek köszönhetően a most megújuló szabvány már a minőségirányítási és környezetirányítási rendszerekre vonatkozó szabványokkal kompatibilis követelményeket és fogalomhasználatot alkalmaz,
• a fenti szemlélet az auditorok képzésére, kompetenciakövetelményeire is vonatkozik: a szabvány nagyobb átjárhatóságot biztosít az egyes irányítási rendszerek között mind az irányítási rendszerek külső fél általi auditját végző személyekre, mind pedig a szervezetek belső auditoraira tekintettel (pl. figyelembe veszi a más szakterületen szerzett képzettséget vagy szakmai gyakorlatot),
• az átjárhatóság ellenére nagyobb szakmai tapasztalatot és mélyebb ismereteket vár az új szabvány az auditot végző személyektől, mellyel növelhető az audit megállapításainak megbízhatósága.

A nemzetközi szabvány magyar fordítású verziójának létrehozását a Magyar Szabványügyi Testület MSZT/MB 819 Informatika műszaki bizottsága már megkezdte, ennek megfelelően hamarosan a szabvány hazai verziója is elérhetővé válik, így segítve az információbiztonsági területen tevékenykedő szervezetek munkáját.

Ha kérdése merült fel, keresse kollégáinkat elérhetőségeiken!